网络服务商个人信息保护制度的缺陷及其完善 ——以新浪微博诉脉脉案为例
电子邮箱:yangxiubj@126.com。本文为重庆大学中央高校基本科研业务费科研创新能力提升专项项目“互联网广告多元共治生态圈建构研究”阶段性成果。
一、案件背景及其争议问题
2015年3月,所属新浪集团的北京微梦创科网络技术有限公司(简称微梦公司)以非法抓取、使用微博用户信息等原因为由,将负责脉脉软件及脉脉网站的共同经营者——北京淘友天下技术有限公司、北京淘友天下科技发展有限公司(互为关联公司,以下合称淘友公司)起诉至法院索赔千万。海淀法院一审判决被告停止不正当竞争,并赔偿原告经济损失等220余万元。后因对一审判决不服,淘友公司提起上诉。2016年10月10日,该案二审开庭,12月3日二审驳回上诉,维持原判。该案件的争议焦点是脉脉对新浪微博上用户个人信息的收集、使用行为是否违法。通过该案的审理,二审法院最终认定淘友公司非法获取、使用新浪微博的用户数据,并且侵害了用户的个人信息权,因此,认定其属于不正当竞争行为。一、二审过程中双方围绕用户信息权利辩论的重点集中在两个方面:一是,收集用户信息的范围问题。二是,用户信息的使用(包括通过用户数据的处理中实现对应关系的合法性,以及用户信息的匹配是否是通过“协同过滤算法”完成的)问题。
该案的最大特征是,纠纷爆发于用户个人信息的使用阶段,反映出ISP(Internet Service Provider,网络服务商)在数据的加工、再利用中相关制度规范的缺失,并由此造成了对用户信息权利侵害的后果。案件所暴露出的大数据时代用户信息的获取和使用中侵犯用户信息权利的问题也还具有相当的普遍性。该案的审理和宣判,对于推动我国ISP用户信息责任制度的完善有一定的积极意义。尤其值得注意的是,判决书确认了数据控制方对于第三方侵害用户信息权利的行为有权提起诉讼。它表明司法机关对于数据使用中由数据转移行为引发的用户信息权利侵害这一突出问题的关注。除此之外,判决书中还提出了加强ISP用户数据保护责任的三重授权原则,即明确第三方应用通过开放平台,例如Open API模式获取用户信息时应坚持“用户授权”+“平台授权”+“用户授权”的三重授权原则。
二、ISP个人信息保护制度面临的形势与挑战
今天,大数据的应用已相当广泛,影响着社会生活的方方面面,甚至可以说大数据正日渐成为媒体之后的“第五权力”。 个人信息保护制度属于网络内容空间治理的组成部分,而且,它也是网络安全的重要内容。不过,个人信息保护制度的建构与其他大数据时代的法律制度相比——比如传统隐私权、名誉权等人格权利的保护制度,又有其独特性。主要体现在:其一,个人信息制度中,数据使用一方的力量更为强大,处于绝对强势地位,而数据主体却处在劣势。其二,数据产业的发展很快,涉及的用户信息的保护技术具有相当的复杂性。第三,由于是新型权利,对其性质、内涵认识的变化很快,由此造成用户信息保护制度设计的挑战也在上升。再有,在个人信息的收集、加工等数据的“二次利用”过程中,数据的处理主体数量越来越多,处理方式复杂多样,这使得对于主体的法律责任的认定更为困难。最后,由于个人信息保护问题涉及多方的利益,政府在利益平衡中面临艰难的抉择。2015年2月,美国白宫颁布的有关保护数据隐私的立法草案,试图将其2012年出台的自愿性的“消费者隐私权利法案”上升为法律,但该立法草案一经公布就引发了不小的争议。2016年4月14日,欧洲议会终于投票通过了商讨四年的《数据保护通用条例》(General Data Protection Regulation,简称GDPR),该条例将在2018年5月25日正式生效。不难看出,大数据时代用户信息的保护问题在监管制度和治理体系的建构方面涉及多方利益的博弈,规范的制定极具复杂性与挑战性。
随着数据处理的复杂程度越来越高,个人信息的界定也将愈发困难,无法再采用固化的定义,而只能根据场景进行具体的判断,这对于个人信息保护的现有制度将会是一种前所未有的挑战。“......如美国众多机构及学者所指出,大数据环境下已不存在绝对意义的非个人信息,与此同时信息的性质是动态的,无法脱离具体场景做抽象界定。因此,探究个人信息精准定义的传统思路已不合时宜,以‘不构成个人信息’作为排除法律适用的理由也不再充分。”(范为,2016a)然而,目前我们仍将“敏感信息”与“一般信息”的区分作为建构个人信息保护制度的出发点。基于这种个人信息的分类,学者张新宝(2015)提出“两头强化,三方平衡”的理论,主张对敏感信息进行严格的限制,而对于一般信息则主要是推动对其的利用。所谓的“两头强化”就是将这两类不同性质的信息作为规制的重点。而“三方平衡”所涉及的主体利益是指,个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息业者对个人信息利用的利益(核心是通过经营活动获取经济利益)以及国家管理社会的公共利益(张新宝,2015)。这充分体现了个人信息保护涉及的复杂利益关系。此外,信息社会,公众对个人信息保护的需求在日益提高,个人信息保护的目标根本上是要保障用户的人格自由与人格尊严,ISP数据使用中所要保护的也就是这种广义的用户信息权利,而这恰恰是传统的个人信息保护制度所无法达到的。有人将大数据时代个人信息保护的法律制度之困,归纳为几个方面:1. 数据主体对数据的控制权严重削弱;2. 数据控制者数据垄断不断强化;3. 数据安全风险和数据监控风险增加;4. “通知—同意”规则难以有效执行;5. 责任追究难度加大(黄道丽,张敏,2015)。事实上,这五大问题的存在是导致用户信息权利无法得到很好保障的主要原因。新浪诉脉脉案件暴露出我国当前个人信息保护制度的不足,由此揭示出针对个人信息保护的制度建设仍需要进一步的完善,否则,既无法满足大数据时代公众对于个人信息保护的期待,也无法适应今后大数据行业发展的需要。
三、国外ISP个人信息保护制度的理念革新及发展趋势
2016 年 4 月 14 日,欧盟议会正式通过的《数据保护通用条例》(General DataProtection Rules,GDPR),该法案强化了个人数据权的基本权利地位,通过明确规定公众对于数据的知情权、被遗忘权等权利,以便公众能更好地控制个人信息(吴沈括,2016;安生,2016)。而且,法案将数据处理而不是数据的获取作为规制的重点,通过强化ISP对于个人信息保护的主体责任制度,目的是切实保障数据主体的信息控制权,这是这一法案的最大变化。2015年,美国白宫公布了《消费者隐私权利法案(草案)》(Consumer Privacy Bill of Rights Act of 2015,CPBR),其中设置了数据使用中ISP应承担的多项社会责任。无论是通过不断完善数据主体的权利或是增设ISP社会责任和义务的方式,国外立法改革的大体方向都是一致的,即由此增强大数据应用中对于用户信息权利的保护。美国、欧盟在个人信息保护制度建设方面的最新动向,主要有三大特点:一是,进一步扩大了数据主体的权利,包括确认了其拥有知情权、删除权、可携带权等多项权利;二是,将加强数据业者的责任制度作为保护用户数据权利的重要途径,尤其是强调数据使用阶段ISP对于用户信息权利的保障义务;三是,适应大数据应用“去中心化”的发展趋势,以实现ISP这类社会组织的自律作为制度建设的主要途径,这也凸显了对于用户信息权利保障观念和制度的务实、创新。可以说,国外个人信息保护的理念已经进入到了新的发展阶段,而这些理念又通过一系列的具体制度来实现。
(一)通过建立隐私评估等制度强化了数据获取阶段数据业者的用户信息保护责任
“知情-同意”原则是一项传统的用户信息保护制度,是ISP数据获取最重要的约束之一。然而,这一制度由于可操作性不强、导致企业负担过重等问题而往往难以在实践中得到落实。随着对于个人信息及其保护制度新的思考和实践,欧盟、美国的立法更注重采取针对个人信息的灵活、动态、多样化的保护方式,以此实现数据利用和保护的双重目标。范为(2016b)总结指出,欧美用户信息保护改革法案呈现出一种“场景”与“风险”导向的建构思路,“就欧美立法的对比而言,美国《消费者隐私权利法案(草案)》侧重‘场景’为核心,而欧盟《数据保护通用条例》则更强调‘风险’为导向。”其中隐私风险评估就成为数据业者重要的制度探索,实现了对于用户信息权利侵害风险的事先预防(SB Adler.etc,2009)。所谓隐私泄露影响评估是指“依据法律和政策的规定,对组织机构所收集、存储、管理、利用、开放的数据是否对隐私产生影响所进行的全生命周期的、系统的评估过程和结果。”(迪莉娅,2016)它更具操作性的定义是,“隐私影响评估(PIA)是当前国际通用的工具,通过此普适性的工具,能够将第一方信息收集者和第三方中介统一纳入通用的评估体系,根据个人信息处理行为引发的风险等级确立相应的保护义务,构建大数据环境下多元主体的新秩序。”(范为,2016a)可见,隐私风险评估其目的在于根据不同的数据应用场景和风险,设定更具针对性的ISP内部管理义务,以此实现对个人信息的有效保护。
欧盟《数据保护通用条例》(GDPR)一方面是在原有数据主体相关权利和保障制度基础上进行的改造升级。比如,在原有知情同意原则的基础上,GDPR还规定了数据主体的被遗忘权、纠正权、反对权、限制处理权、拒绝权等权利。另一方面是将隐私风险评估机制引入法案当中,强化了ISP的主体责任。《数据保护通用条例》第35条“数据保护影响评估”中的第一款就规定,“鉴于一种数据处理方式,尤其是使用新技术进行数据处理,统筹考虑处理过程的性质、范围、内容和目的,(不难得知)这很可能对自然人权利和自由带来高度风险。在进行数据处理之前,控制者应当对就个人数据保护所设想的处理操作方式的影响进行评估。一个单一的评估方法也许能够对目前的相似的高风险状况,提供相类似的一组操作方式。”(欧盟议会,2016)不仅如此,该法案在“处理过程的安全性”、“ 控制者的义务”等多个部分也都提到了隐私风险评估制度。第24条“控制者的义务”第一款就规定,“考虑到性质、范围、内容和处理的用途以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险,控制者应当实施适当的技术和组织措施,以确保并能够证明,根据本条例进行处理。这些措施应在必要时进行审查和更新。”(欧盟议会,2016)由此可见,隐私风险评估已成为约束ISP履行数据保护义务的一项重要制度,它最鲜明的特征是,ISP事先采取保护用户信息安全和利益的措施,即根据保护用户信息安全的需要设定多元化的权利保障政策或措施,而政府只负责对于ISP隐私风险评估机制等内部政策、制度是否存在及其合规性的外部监督。如果ISP采取了隐私风险评估措施,或者进行了相关的认证,就可以免于承担侵权责任。对于GDPR中的隐私风险评估制度,范为(2016b)做了如下评价:“......然而值得一提的是,该条例的一大亮点在于,通过引入风险管理的要素,对数据控制者及处理者的义务采取了差分化的规定,对可能引发高风险的处理行为增加了附加性义务,反之风险程度低时豁免部分义务,为个人信息保护的未来实践及监管昭示了难能可贵的方向。”
与欧盟不同,美国对于用户信息保护制度的创新则更为重视“场景”导向,即根据用户需求进行数据业者责任制度的重构,以便适应新时期的用户信息保护需要。有人指出,美国的信息隐私权保护更能体现出数据业者对消费者和执法机构的负责,“然而,该原则已超越传统意义上的外部责任。能以实际行动证明其圆满完成了隐私声明的公司定能进一步维系、加强消费者的信任。有必要以公司规模、业务构成以及信息的敏感度为基础建立适当的评估机制,该机制可以成为自我评估的手段,并不需完整的审计。”(李明发,孙昊,2015)已有不少学者指出,大数据时代个人信息保护制度的重构应有更高的标准:一是,以用户主观预期为核心重构个人信息保护的合理边界。二是,以隐私风险为导向,变目的限定为风险限定。因此,要对于用户可能造成的财产损失、精神侵害等风险进行不断地评估。(王融,2015;范为,2016a)而美国对于个人信息保护的原则充分体现了个人信息保护中用户的主体性以及对其利益的关照。“......场景理念从用户的接受度出发,强调合理性标准是个人信息处理符合用户的合理隐私期待,降低隐私风险,而并非僵化审视与原始目的的‘符合性’,就此意义而言,场景理念是对目的限定原则的超越与升华。”(范为,2016b)通过建立动态的、能够适应不同场景的个人信息保护机制,可以提升数据主体对于ISP信息使用的信任度。由此也就回答了ISP用户信息保护责任制度建构的目的问题。
(二)通过落实透明原则、第三方责任等制度进一步完善对数据使用阶段个人信息的保护
由于数据的使用,而不是获取阶段是ISP责任制度建构以及治理体系完善的重点,因此,特别是针对数据的使用阶段,国外对于个人信息的保护除建立了隐私风险评估机制、认证制度等制度之外,还通过加强透明性原则、第三方数据使用责任制度的建构等方式,以此更好地保护数据主体的个人信息权利。欧盟用户数据保护的新法案体现出对于数据使用透明性原则的强化。《数据保护通用条例》(GDPR)第15条“数据访问权”中规定,“ 数据主体应当有权从管理者处确认关于该主体的个人数据是否正在被处理,以及有权在该种情况下访问个人数据和以下信息......”(欧盟议会,2016)这实际上还是以公开、透明的形式加强数据主体对于个人信息的控制权,体现的是对于数据保护透明度原则的重视。李明发和孙昊(2015)通过对美国《消费者隐私权利法案(草案)》中个人信息保护政策的分析指出,“......应当明确披露其从第三方获得的个人信息,第三方的身份以及如何使用该信息,这有利于提升消费者信息隐私权保护的透明度。透明度的提升有利于促进保护隐私技术的发展,并鼓励消费者使用该技术维护自身的信息隐私权。”新的用户信息保护制度对于第三方的数据使用问题也日益关注,尤其重视数据业者之间数据转移过程的制度建构。鉴于大数据时代数据主体之间数据转移、再利用行为的频繁发生,国外用户信息保护制度加强了对于ISP在数据反复再利用中的责任设计。“场景与风险导向的新架构不应再苛求将信息的收集、利用保持在最小必要的范围,而更意味着机构必须将个人信息处理所引发的风险控制在实现特定目的所必须的合理水平,即机构对个人信息进行后续利用时,应将其引发的隐私风险降至实现目的最低水平,个人信息的二次利用不应提升信息原初的隐私风险或给用户带来无法预期的隐私损害。”(张敏,马民虎,2016)可以说,大数据时代传统的用户信息保护制度中的“目的限定”“信息最小化”原则已受到很大的挑战,特别是对于第三方数据使用的约束亟需新的理念和方法。
四、我国ISP个人信息保护制度的问题分析
(一)个人信息司法保护的不足——新浪微博诉脉脉案判决的意义评析
近年来,我国侵犯公民个人信息权益的案件不断增多。司法判决对于个人信息权理论和制度的发展都起到了重要的促进作用。如被称作是全国首例“被遗忘权”案——“任甲玉诉百度搜索案”,黄晓宇(2016)评论认为,“虽然判决未支持原告提出有关保护其所谓‘被遗忘权’的诉讼请求,但是为‘被遗忘权’在我国现行法律体系下通过‘一般人格权’加以保护打通了路径,确立了保护的条件和标准,对网络时代个人信息相关利益进行司法保护提供了有益借鉴。”但是,由于受制度条件、法律传统等诸多因素的限制,当前司法领域对于个人信息权的保护仍存在很多的问题,这就造成当事人提起个人信息权的诉讼,往往以败诉收场。其中的原因错综复杂,苏航(2016)认为,“由于司法解释的有关规定受制于制定权限,仍未脱离侵权责任的经典模式,即需由权利人证明其已受到损害的事实,而在大部分此类案件中,包括新浪微博诉‘脉脉’案,单个用户的直接损害通常难以证明,这在客观上导致权利人维权难、举证难。”不过,即便如此,司法审判中通过法律适用,加强对于个人信息权的保护仍是一条重要途径。新浪微博诉脉脉案的宣判,也表明了现阶段司法途径在保护用户信息权利方面的价值。该案二审虽是仅仅判定脉脉的行为构成不正当竞争,但是,在这一结论的认定过程中,法官充分考虑了淘友公司对消费者信息权利的侵害因素,事实上,这也是判定其构成不正当竞争的理由之一。更为重要的是,通过该案的审理,司法机关针对数据业者之间数据使用中的问题,提出由数据控制方针对第三方提起诉讼的司法对策,这事实上也拓宽了用户信息保护的思路。可以说,这是大数据时代保护用户信息权利,完善个人信息保护途径的一次重要实践。不过,在当前ISP主体责任制度尚不完善的状况下,个人信息保护的司法救济也只是一种权宜之计。若要完全指望通过司法途径督促ISP履行其个人信息保护的责任,进而实现个人信息保护的目的,这几乎是不现实的。案件的审理中,法官也呼吁应强化ISP的社会责任,加强内部管理和制度建设,二审判决书就提到,“此外,从本案中被上诉人微梦公司的举证情况可以看出,作为拥有上亿用户的大型社交网络平台的运营主体,其网站后台记录却未能保留全部获取/抓取日志,对于是否被爬虫抓取或通过其他手段抓取相关用户信息均存在举证不能的情况,这暴露出被上诉人微梦公司作为大型互联网运营平台对于用户信息保护的责任意识与技术水平十分欠缺,亟待提高。互联网时代,保护用户信息是互联网企业的社会责任。”由此可见,推动ISP履行社会责任,完善自身的责任制度,从内部推动其用户信息保护责任的落实,包括建立隐私风险评估等机制,这才是减少类似案件发生,实现用户信息保护的长效机制。除此之外,案件判决书中反复强调ISP在数据的加工过程中,需要重视保护用户的知情权,为此,还提出了“用户授权”+“平台授权”+“用户授权”的“三重授权”原则。尽管这一原则是对知情同意原则的具体和深化,但它仍然是建立在传统的个人信息保护的观念和制度之上,而无法适应场景语境下用户信息差异化保护的需要。比如说,判决书虽然要求对电话号码、教育背景等隐私信息一定要做到“明示同意”,但大数据应用中涉及海量数据主体,这是否具有可行性?再有,落实这一原则的成本企业是否有能力承担?这些都是该原则落实所要面临的现实困难。大数据时代面对“去中心化”的个人信息生态系统,使得“目的限定”原则、“信息最小化”原则等制度都暴露出极大的缺陷。
(二)ISP个人信息保护的法律制度及其缺陷
2017年3月15日通过的《中华人民共和国民法总则》,其中第111条就规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”有媒体在针对该规定出台背景的分析中曾提到,“全国人大法律委员会经研究认为,个人信息权利是公民在现代信息社会享有的重要权利,明确对个人信息的保护对于保护公民的人格尊严,使公民免受非法侵扰,维护正常社会秩序具有现实意义,遂增加上述规定。”(梁晓辉,马海燕,2016)不难发现,立法部门对于个人信息权利性质的认识在不断深化,立法将个人信息权看成是一项重要的人格权利,也这体现了法律的人文关怀。另外,《中华人民共和国网络安全法》也已于2017年6月1日正式实施。其中第四章“网络信息安全”部分对于个人信息的使用提出了一些基本要求。第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”可以发现,这条规定依旧确认了用户信息保护制度中的知情同意、目的限定、最小化信息使用等原则。而且,该法第四十二条还明确了对于用户信息匿名化的要求。“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。”这实质上还是一种静态的保护用户信息隐私的制度措施。再有,2016年制定的《数据流通行业自律公约》中特别提到加强企业之间围绕数据使用关系的“规范化”,如第五条规定,“ 企业对其合法、正当途径采集、获取、生成的数据享有合法权益。不通过非法手段或违背他人意愿侵入、窃取、交易他人享有合法权益的数据,不使用非法获取或来源不明的数据。”值得关注的是,《公约》围绕数据处理等数据应用环节提出了多项制度,其中就涉及数据透明、风险评估以及第三方认证和审计监督机制等制度。除此之外,我国还通过《刑法》、《消费者权益保护法》、《电信和互联网用户个人信息保护规定》以及相关司法解释,如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等相关法律法规初步确立了个人信息保护的刑事、行政和民事法律责任。总体而言,这些年我国在保护个人信息方面已有了不少的进步。一方面,个人信息权利保护的意识逐步增强,特别是对于个人信息的保护意义的认识,已从过去只重视隐私信息的保护逐步向对人格自由、人格尊严的全面保护转变;二是,用户信息权利的内容也在扩充,《网络安全法》就增加了删除权、纠错权等新兴权利。但是,当前个人信息保护法律制度中最突出的问题是,虽然很多法律及规范性文件中都包含了个人信息保护的相关规定,但却无法适应大数据产业发展中对于个人信息保护的需要,相关的制度设计还不够合理。具体而言,主要体现在以下方面:一是,目前仍以知情-同意原则、目的限定、信息的不可识别等传统原则应对大数据时代的个人信息保护中的出现问题,而这些制度在解决数据频繁、多次使用中的个人信息保护问题时,可能难以奏效。“传统的个人信息保护法对于个人信息的界定,一般以‘识别’为核心标准,它是指与个人相关、能够直接或间接识别特定自然人的信息,比如个人的姓名、家庭住址、电话号码等。然而,互联网技术和业务的快速发展,已经将个人信息保护法的适用环境彻底改造。大数据的出现更是进一步模糊了个人信息与非个人信息的边界,企业甚至普通个人越来越容易获得有关个人的大量信息,获取信息以及将信息恢复身份属性的成本也正在急速下降。”(王融,2015)因此,对于个人信息静态的“区分”,以及建立在这一基础之上的“匿名化”要求,将制约立法对于个人信息权利保护目的的实现。二是,尚未形成推动ISP履行社会责任,完善个人信息保护的有效模式和机制。国外个人信息保护制度的革新,以ISP主体责任的建构,特别是以其自觉履行隐私风险评估等相关义务为基础,辅之以政府的外部监管,这是治理体系创新的最主要特征。对于大数据时代的用户信息保护而言,如何发挥社会主体,特别是数据业者的能动性和积极性,落实其主体责任,这是关系个人信息保护制度成败的关键。三是,相关规定不够具体、明确,可操作性不强。目前已生效的《网络安全法》承担的功能也只能是原则性的,它指出了今后在法律上需要加强用户信息保护这一根本任务,也预示了我国个人信息制度的发展方向,但是,对于如何在实践中真正落实相关权利,特别是针对ISP设定更为明确的个人信息保护责任,这些问题都需要逐步地加以解决。由此可见,个人信息保护的法律制度不健全,尤其是缺乏针对ISP用户信息使用行为有效的约束机制,这是当下用户信息保护需要破解的最大难题。可以说,这些制度漏洞也是引发新浪微博与脉脉纠纷以及其他类似案件发生的重要原因之一。
五、ISP个人信息保护制度的完善思路
(一)大数据时代ISP个人信息保护的理念及模式创新
当前个人信息保护的治理模式主要有两种类型。“美国采取经营者自律模式与其原有的隐私法律保护比较完备有关,欧洲采用国家(政府)主导的立法模式则与其立法传统有关。”(张新宝,2015)我国在互联网广告、APP信息、网络游戏出版等针对网络不同领域的治理过程中,已逐步建立起了公私协力的“共享共治”模式,这是适合国情的,并且是应对各类网络治理问题非常宝贵的经验。因此,对于大数据时代个人信息保护而言,应以多元共治理念为基础,重视发挥个人信息保护中政府与社会主体两方面的积极作用,这是完善大数据时代个人信息治理体系的根本思路。而且,要在政府与社会主体之间明确各自的角色定位以及所应承担的责任,从而确保个人信息保护的治理体系能够有效运作。数据业者是承担个人信息保护责任的主体,需要强化自身的内部自律机制,包括完善隐私评估、认证机制等具体制度。而政府的作用在个人信息保护中同样不可或缺,政府是外部的监管者,负责引导各个行业隐私风险评估等标准的制定,展开对ISP主体责任落实情况的监督检查。所以说,为了适应大数据发展新形势下个人信息的保护,需要政府与数据业者之间高效的分工合作。
这里还有一个问题,个人信息保护中实现“多元共治”目标的理论依据究竟何在?公共行政理论中的行政任务民营化理论可以对此问题做出回答,这对于加强个人信息保护中ISP的社会责任,督促其履行针对用户信息的安全管理义务具有重要的意义。行政任务民营化是指,“国家利用或结合民间力量执行行政任务现象”,秩序行政任务民营化与给付行政任务民营化构成了民营化学术讨论的两大重要领域。而“任务部分私人化”(即公私协力)现已成为各国立法及实务最普遍采行的民营化模式(章志远,2014:2)。民营化又可分为实质民营化与形式民营化。形式民营化又称作是功能民营化,指的是特定行政事务仍由国家承担且不放弃自身执行的责任,仅在执行阶段借助于私人部门的力量完成既定的行政任务。包括:行政助手、专家参与、行政委托等,它们主要适用于公共权力领域(章志远,2014:2)。行政执行任务之所以可以实现公私协力,其依据来源于行政过程理论,行政过程是指达成行政目的的一连串节点的集合。它不仅包括最终结果的行政处罚、行政许可等行政处理环节,也包括计划、信息收集、证据采集、信息披露、监督、反馈等多个环节。据此,我们可以根据ISP在个人信息保护中所涉及的具体事项以及对公民权利侵害程度的大小分别在法律体系中设定适当的注意义务,明确政府对于ISP履行相关责任的要求。比如,ISP责任制度中的隐私风险评估机制主要涉及信息披露等义务履行的方式,属于行政过程理论中行政执行任务的“公私协力”。不过,这一制度今后需要在行政法规当中做出明确的规定,以此提升个人信息保护制度的效力。
(二)ISP用户信息保护的制度创新
1.完善ISP用户信息保护的行政监管制度
对于个人信息保护的行政监管应有统一的机构。美国由联邦贸易委员会(FTC)负责强制执行《消费者信息隐私权法案》,“FTC展开执法行动意味着公司未能严格遵守保护消费者隐私的承诺。此外,在公司未采取合理有效措施保护消费者个人信息安全的情况下,FTC可对该公司采取相关措施。FTC之所以能够应对技术和市场的改变对保护消费者信息隐私带来挑战,是因为FTC采取了灵活的执法手段:在其管辖权范围内,FTC有权强制公司遵守共同行为准则。”(李明发,孙昊,2015)欧盟的《数据保护通用条例》(GDPR)中很多地方都涉及欧洲数据保护局的角色和职责。比如,第42条 “ 认证”中就提到,“基于根据第58条第三款监管机构制定的标准或者基于根据第63条董事会所制定的标准,认证必须由第43条所提到的认证主体进行。如果标准由董事会制定,将由欧洲数据保护局来进行认证。”(欧盟议会,2016)针对隐私风险评估机制“合规性”的审查和监管,这也是监管部门的一项重要任务。而“合规性”是数据业者从制度上规避个人信息处理责任的前提。因此,我国建立针对个人信息保护管理的统一机构确有其必要性。有文章提到,“虽然在遭遇个人信息侵害时,公众可向公安部门、互联网管理部门、工商部门、消协、行业管理部门等多个机构进行投诉举报,但是,投诉的效果并不理想。因此,就有人主张,国家应当成立专门的网络个人信息保护机构,对网络个人信息的收集、处理、利用进行监控和管理,禁止个人或组织非法收集、传播、利用他人的信息。”(杜放,罗政,2015)我们认为应由国家网信办作为统一的个人信息保护的监督执法机关。2014年8月,中国国务院就已授权重新组建的国家互联网信息办公室负责互联网信息内容管理与监督执法。因此,当前由它统一协调各个部门的个人信息保护的相关管理工作,负责针对个人信息保护问题的监督执法是比较合适的。大数据时代,用户信息的反复利用成为数据业的核心业务之后,政府应对数据使用行为进行重点监管,以便真正有效保障用户的信息权利。对于数据业者的监管而言,主要是引导和督促,尤其是督促ISP在数据使用中结合“场景”制定不同的用户信息保护的标准,切实履行其对用户信息保护的主体责任。
2.重视ISP用户信息保护的内部制度建设
西方国家的个人信息保护制度已呈现出一种“场景”、“风险”导向的建构思路。基于动态化的数据使用“场景”,数据业者应尽快制定相应的用户隐私风险评估机制。隐私风险评估机制在落实ISP的主体责任,推动个人信息保护中数据业者的自治方面扮演着重要的角色。当个人信息保护制度的重心已经从开始阶段的“知情或同意”转移至如何确保用户数据信息使用过程中的透明、安全、可信,并且数据的频繁加工、处理成为一种数据应用的“常态”之后,此时,原先的个人信息保护原则就有了调整的必要性。隐私的风险评估、认证等机制能够更好地落实知情-同意、目的限定、用户信息最小限度的使用等原则,并且有利于促进数据向第三方流动的规范化。在新浪微博诉脉脉案的二审判决书中,法官也针对该案提出了ISP应加强社会责任,履行保障用户信息安全治理义务的建议。判决书提到ISP应承担的五个方面的治理义务,具体包括:(1)制定内部数据信息安全管理制度和操作规程,确定网络安全负责人,落实网络数据信息安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络数据信息安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志;(4)采取数据分类、重要数据备份和加密等措施;(5)制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。显然,这些要求可以说是ISP履行其用户信息保护责任的内容体现,同时也是建构ISP责任制度的重要组成部分。不过,其中的相关内容仍缺乏明确的规定。比如,“制定内部数据信息安全管理制度......落实网络信息安全保护责任”仍旧比较笼统,缺乏可操作性的制度措施。而且,判决书中提出的“数据控制方提起诉讼的权利”“三重授权原则”等制度,仍未将“隐私风险评估”作为制度设计的重点, 无法解决数据在二次使用过程中,不再增加原初隐私风险的问题。而用户隐私风险的增加这是新浪微博诉脉脉案争论的焦点问题之一。具体表现在,对于脉脉所使用的“协同过滤算法”是否增加了隐私风险就缺乏统一的判断标准。此外,今后还需要以“场景”为核心,从用户主观预期出发不断健全个人信息保护的制度体系,这也是未来用户信息保护制度发展的一大趋势。
参考文献从略,原文刊载于《国际新闻界》2017年第8期。
